En 2024, los ataques globales de ransomware alcanzaron 5,414, un aumento del 11% desde 2023.
Después de un comienzo lento, los ataques se dispararon en el segundo trimestre y aumentaron en el cuarto trimestre, con 1,827 incidentes (33% del total del año). Las acciones de aplicación de la ley contra grupos principales como Lockbit causaron fragmentación, conduciendo a una mayor competencia y un aumento en pandillas más pequeñas. El número de activo ransomware Los grupos saltaron un 40%, de 68 en 2023 a 95 en 2024.
Nuevos grupos de ransomware para ver
En 2023 solo había 27 nuevos grupos. 2024 vio un aumento dramático con 46 nuevos grupos detectados. A medida que pasó el año, el número de grupos aceleró con el cuarto trimestre 2024 que tiene 48 grupos activos.
De los 46 nuevos grupos de ransomware en 2024, Ransomhub se volvió dominante, excediendo la actividad de Lockbit. En Cyberint, ahora una compañía de Point Point, el equipo de investigación es Investigando constantemente los últimos grupos de ransomware y analizarlos para obtener un impacto potencial. Este blog verá a 3 nuevos jugadores, el Ransomhub, Fog y Lynx antes mencionado y examinará su impacto en 2024 y profundizar en sus orígenes y TTP.
Para aprender sobre otros jugadores nuevos, descargue el informe de ransomware 2024 aquí.
Ransomhub
RansomHub se ha convertido en el principal grupo de ransomware en 2024, reclamando 531 ataques en su sitio de fuga de datos desde que comenzó las operaciones en febrero de 2024. Después de la interrupción del FBI de AlphvRansomhub se percibe como su “sucesor espiritual”, potencialmente involucrando a los antiguos afiliados.
Operando como un ransomware como servicio (RAAS), Ransomhub aplica acuerdos de afiliados estrictos, y Ransomhub aplica una estricta adherencia a los acuerdos de afiliados, con un incumplimiento que resulta en prohibiciones y la terminación de las asociaciones. Ofrece una división de rescate 90/10, Afiliates/Core Group.
Mientras reclama una comunidad global de piratas informáticos, Ransomhub evita atacar a las naciones cis, Cuba, Corea del Norte, China y sin fines de lucro, exhibiendo características de una configuración tradicional de ransomware ruso. Su evitación de las naciones afiliadas a rusos y la superposición con otros grupos de ransomware rusos en compañías específicas resaltan aún más sus probables conexiones con el ecosistema de cibercrimen de Rusia.
Cyberint en agosto de 2024 Los resultados indican una tasa de pago baja: solo el 11.2% de las víctimas pagadas (20 de 190), y las negociaciones a menudo reducen las demandas. RansomHub prioriza el volumen de ataque sobre las tasas de pago, aprovechando la expansión de los afiliados para garantizar la rentabilidad, con el objetivo de generar ingresos sustanciales con el tiempo a pesar del bajo éxito de pago individual.
Malware, conjunto de herramientas y ttps
El ransomware de RansomHub, desarrollado en Golang y C ++, se dirige a Windows, Linux y ESXI, distinguido por su cifrado rápido. Las similitudes con el ransomware de GhostSec sugieren una tendencia.
RansomHub garantiza un descifrado gratuito si los afiliados no pueden proporcionarle post pagos o dirigirse a organizaciones prohibidas. Su ransomware encripta los datos antes de la exfiltración. Posibles lazos con Alphv son sugeridos por patrones de ataque, lo que indica herramientas similares y se podría usar TTP.
La investigación de Sophos destaca los paralelos con el ransomware Knight, incluidas las cargas útiles de Goobfuscate e idénticas menús de línea de comandos.
Ransomware de niebla
El ransomware de niebla apareció a principios de abril de 2024, dirigido a las redes educativas estadounidenses explotando las credenciales de VPN robadas. Utilizan una estrategia de doble extensión, publicando datos en un sitio de filtración basado en TOR si las víctimas no pagan.
En 2024, atacaron a 87 organizaciones a nivel mundial. Un informe de Wolf Arctic de noviembre de 2024 mostró que FOG inició al menos 30 intrusiones, todas a través de cuentas VPN de SonicWall comprometidas. En particular, el 75% de estas intrusiones se vincularon a Akira, con el resto atribuido a la niebla, lo que sugiere infraestructura y colaboración compartidas.
La niebla se dirige principalmente a la educación, los servicios comerciales, los viajes y la fabricación, con un enfoque en los Estados Unidos, curiosamente, la niebla es uno de los pocos grupos de ransomware que priorizan al sector educativo como su objetivo principal.
El ransomware de niebla ha demostrado una velocidad alarmante, con el tiempo más corto observado desde el acceso inicial hasta el cifrado que son solo dos horas. Sus ataques siguen una cadena típica de matar de ransomware, que abarca la enumeración de la red, el movimiento lateral, el cifrado y la exfiltración de datos. Las versiones del ransomware existen para las plataformas de Windows y Linux.
COI
| Tipo | Valor | Última fecha de observación |
| IPv4-ADDR | 107.161.50.26 | 28 de noviembre de 2024 |
| SHA-1 | 507b26054319ff31f275ba44ddc9d2b5037bd295 | 28 de noviembre de 2024 |
| SHA-1 | E1FB7D15408988DF39A80B8939972F7843F0E785 | 28 de noviembre de 2024 |
| SHA-1 | 83F00AF43DF650FDA2C5B4A04A7B31790A8AD4CF | 28 de noviembre de 2024 |
| SHA-1 | 44a76b9546427627a8d88a650c1bed3f1cc0278c | 28 de noviembre de 2024 |
| SHA-1 | eeaFA71946E81D8FE5EBF6BE53E83A84DCCA50BA | 28 de noviembre de 2024 |
| SHA-1 | 763499B37AACD317E7D2F512872F9ED719AACAE1 | 28 de noviembre de 2024 |
| SHA-1 | 3477A173E2C1005A81D042802AB0F22CC12A4D55 | 02 de febrero de 2025 |
| SHA-1 | 90be89524b72f330e49017a11e7b8a257f975e9a | 28 de noviembre de 2024 |
| Nombre de dominio | GFS302N515.Userstorage.mega.co.nz | 28 de noviembre de 2024 |
| SHA-256 | E67260804526323484f564eBeb6C99ED021B960B899FF788AED85BB7A9D75C3 | 20 de agosto de 2024 |
Lince
Lynx es un grupo de ransomware de doble extinción que ha sido muy activo últimamente, mostrando muchas empresas víctimas en su sitio web. Afirman que evitan apuntar a organizaciones gubernamentales, hospitales, grupos sin fines de lucro y otros sectores sociales esenciales.
Una vez que obtienen acceso a un sistema, Lynx cifra los archivos, que agrega la extensión “.lynx”. Luego colocan una nota de rescate llamada “ReadMe.txt” en múltiples directorios. Solo en 2024, Lynx reclamó a más de 70 víctimas, demostrando su actividad continua y presencia significativa en el panorama de ransomware.
COI
| Tipo | Valor | Última fecha de observación |
| MD5 | E488D51793FEC752A64B0834DEFB9D1D | 08 de septiembre de 2024 |
| Nombre de dominio | Lynxback.pro | 08 de septiembre de 2024 |
| Nombre de dominio | lynxbllrfr5262yvbgtqoyq76s7mpztcqkv6tjjxgpilpma7nyoohyd.onion | 08 de septiembre de 2024 |
| Nombre de dominio | lynxblog.net | 08 de septiembre de 2024 |
| IPv4-ADDR | 185.68.93.122 | 08 de septiembre de 2024 |
| IPv4-ADDR | 185.68.93.233 | 08 de septiembre de 2024 |
| MD5 | 7E851829EE37BC0CF65A268D1D1BAA7A | 17 de febrero de 2025 |
¿Qué vendrá en 2025?
Debido a la represión de los grupos de ransomware, han aparecido los grupos más nuevos registrados, buscando hacerse un nombre. En 2025, Cyberint anticipa varios de estos grupos más nuevos para mejorar sus capacidades y emerger como jugadores dominantes, no solo Ransomhub.
Lea Cyberint, ahora una compañía de check Point ‘Informe de ransomware S 2024 Para las principales industrias y países, un desglose de los 3 principales grupos de ransomware, familias de ransomware que vale la pena señalar, recién llegados a la industria, arrestos y noticias, y pronósticos de 2025.
Lea el informe de ransomware 2024 para obtener ideas detalladas y más.
About the Author
